Ismét egy nagyon jó témáról írtál! Lehet érdemes lenne kiegészíteni pár konkrét megoldással is, ha valakit érdekelne, hogy a megvalósítás akkor merre induljon el.
[Re:] [sh4d0w:] DNS-monitoring - BLOGOUT fórum
üzenetek
hozzászólások
Ez merőben technikai kérdés. Forensics esetében általában pcap elemzés segíthet, (majdnem) realtime inkább network monitoring, illetve SIEM segíthet.
Gargouille
(őstag)
Igen, igen. Ha esetleg majd tervezed még a jövőben ezt a témát folytatni akkor javaslatként mondom csak, hogy érdemes lehet a DNS forgalom védelméről, titkosításáról (DoT, DoH stb.) vagy a validálásáról (DNSSEC) is írnod. Egyébként azért örülök a témaválasztásnak mert a DNS egy kulcs fontosságú elem a hálózatoknál, mégis kevés figyelmet kap általában, kicsit olyan "kőkorszakban ragadt" protokoll. 
tsiga18
(tag)
Szerintem DNS alapú védelemre (jelenleg) a legjobb a Cisco Umbrella. A tiltott oldalat/kategóriákat még a DNS kérés szakaszában képes blokkolni úgy, hogy a DNS kérésre nem a lekért oldal címét adja vissza, hanem átirányítja a klienst egy általunk kreált oldalra, ahol tudathatjuk hogy nem engedélyezett az elérés.
Van fizetős (céges), és ingyenes (butított) otthoni változata is OpenDNS néven.
Vezettem be nulláról illetve üzemeltettem ilyen rendszert, elég felhasználóbarát és könnyen átlátható mit miért csinál a rendszer.
Nem tervezem (jelenleg), hogy technikai szinten írok erről. A DNS valóban elég régi, mint ahogy a protokollok nagy része is az, de a világ annyira rá van cuppanva ezekre, hogy nagyon nehéz kiváltani őket olyanokkal, amikbe eleve bele van tervezve a biztonság.
Tapasztalataimból kiindulva nem hiszem, hogy kijelenthető: egy mindenek felett. Önmagában az kérdés, hogy melyik a jó? Amelyik könnyen kezelhető, de rossz a detektálási algoritmusa, esetleg az is jó, de a korrelációs engine nem? Vagy jól detektál, jól korrelál, de egy ELK stackből kell kibányászni az adatokat, mert a kezelőfelület nem jó?
tsiga18
(tag)
Jogos amit írsz, én a saját tapasztalaim alapján mondom, hogy a legjobbnak találom ezt.
